Si vous n’avez jamais entendu parler de Log4j, c’est bien normal. Il s’agit d’un programme très utilisé par les logiciels et applications web, mais qui reste inconnu pour le grand public. C’est dans ce programme qu’une faille de sécurité a été détectée. Elle pourrait poser problème pendant plusieurs mois.
Log4j est un logiciel développé et maintenue par la Fondation Apache, qui fait elle-même appel à des bénévoles pour travailler sur ses projets. C’est ce côté open source qui plaît et qui fait que tant de monde l’utilise pour développer ses propres applications.
C’est le 9 décembre qu’une nouvelle faille est détectée et a l’effet d’un tsunami dans les milieux spécialisés. Elle s’appelle CVE-2021-44228, mais on l’appelle également Log4Shell. En termes de risque, cette faille a reçu la note la plus élevée de 10.
L’exploitation de cette faille est très facile, ce qui la rend dangereuse. D’autant plus qu’elle permet de récupérer des données potentiellement sensibles. Pour faire simple, une seule ligne de code est nécessaire pour rediriger la connexion vers le serveur de son choix via JNDI (celui du hacker). Ce dernier peut alors récupérer et exécuter ces ressources. L’un des exemples les plus médiatisés est celui de Minecraft. Il suffisait de taper la ligne de code dans le chat du jeu pour avoir accès au serveur du jeu, mais également aux ordinateurs de tous les joueurs connectés à ce serveur.